从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Flaming Forms <= 1.0.1 2. 漏洞类型:未认证的存储型XSS(Unauthenticated Stored XSS) 3. 描述:插件未对某些参数进行清理和转义,允许未认证用户对管理员发起跨站脚本攻击。 4. 证明概念: - 步骤1:作为管理员,添加一个联系表单。 - 步骤2:作为未认证用户,输入payload 作为任何联系表单字段的输入并提交。 - 步骤3:作为管理员,查看表单提交并观察XSS。 5. 受影响的插件:flaming-forms 6. 参考: - CVE编号:CVE-2024-7691 7. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE编号:CWE-79 8. 其他: - 原始研究者:Bob Matyas - 提交者:Bob Matyas - 提交者网站:https://www.bobmatyas.com - 提交者Twitter:bobmatyas - 验证:是 - WPVDB ID:d30a3b95-5d1f-4755-8b61-19946afc51ef - 发布日期:2024-08-12 - 添加日期:2024-08-13 - 最后更新日期:2024-08-13 - 相关漏洞列表: - PowerPress Podcasting < 6.0.5 - Authenticated Cross-Site Scripting (XSS) - Afterpay Gateway for WooCommerce < 3.2.1 - Reflected Cross-Site Scripting - Pagination by BestWebSoft < 1.2.3 - Admin+ Stored XSS - AnsPress - Question and answer < 4.3.2 - Editor+ Stored XSS - Ultimate Blocks < 3.1.7 - Contributor+ Stored XSS 这些信息提供了关于漏洞的详细描述和如何利用漏洞的步骤,以及受影响的插件和相关漏洞的列表。